一、前言

金融業是高度利用資訊科技的產業，營業模式也隨著電子化、數位化、大數據及人工智慧的運用而改變，客戶因科技創新發展而享有極大便利，但在金融科技（FinTech）浪潮下，駭客攻擊事件頻傳，資安問題日益嚴重。據世界經濟論壇（WEF)《2020年全球風險報告》指出，資安風險（包括網路攻擊、個資外洩及資訊服務中斷等）將是未來10年全球須面臨的2大風險之一。

為超前部署做好國內金融資安規範，金融監督管理委員會啟動「金融資安行動方案」計畫，將從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等4大面向，提出 36 項資安措施，以4年為期分階段推動，希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引，藉此強化我國金融業資安防護能力，打造安全、便利、不中斷的金融服務。

二、方案8大重點

(一) 型塑金融機構重視資安的組織文化
■ 為提升金融機構對資安議題之決策功能，推動一定規模金融機構或純網銀設置副總經理層級之資安長。
■ 鼓勵遴聘具資安背景之董事、顧問或設置資安諮詢小組，帶動機構重視資安的組織文化，亦即把資安當作業務推動的基礎，讓資安成為整體金融機構策略的一部分。

(二) 強化新興科技的資安防護
■ 建議公會增修訂資安自律規範，納入行動應用程式（APP） 、雲端服務、開放銀行、Open API、網路身分驗證（eKYC） 及資訊服務供應鏈之風險評估，讓金融機構在運用新興科技發展創新業務時，兼顧創新與安全之平衡，及因應金融服務委外及跨業合作發展。

(三) 系統化培育金融資安專業人才
■ 將依據金融資安職能需求訂定人才培訓地圖，強化金融機構資安人才能力建構。
■ 協調周邊單位開設金融資安人才養成專班，與科技公司合作，充實師資及課程，透過產學合作、跨業合作，培育跨領域人才。
■ 鼓勵金融資安人員取得國際資安證照，以培訓符合實務需要的資安人才。

(四) 深化資安情資分享與國際合作
■ 為持續深化金融資安情資分享機制，除多元化資安情資來源外，將導入智能化情資分析方法，以人工智慧（AI）  技術及大數據等分析技術提升情資分析效能，並擴大與國際資安機構合作交流，提升資安聯防整體效果，共同對抗國際駭客。

(五) 建構資源共享的資安應變機制
■ 資安事件應變處理具高度時效要求，單一機構資源有其限制，透過個別金融機構資安處理機制，加入金控集團資源、公會協力及金融資安資訊分享及分析中心（下稱F-ISAC） 聯防，建立資源共享的資安應變機制，協助業者資安應處。
■ 以戰代訓，辦理跨域情境演練、阻斷服務攻擊（DDoS） 、電子郵件社交工程、滲透測試等，以攻防演練來測試國內金融機構的資安實戰能力。

(六) 建置金融資安監控協同體系
■ 鼓勵金融機構自建資安監控機制（SOC） ，及早發現網路異常行為，即時掌握資安風險。
■ 督導F-ISAC建置聯防SOC及訂定資安監控作業標準，透過協同運作，以有效監控整體資安風險，協助金融機構強化資安防護。

(七) 鼓勵導入資安國際標準
■ 鼓勵金融機構導入國際資安管理標準及國際營運持續管理標準，並取得相關驗證，透過第三方獨立機構檢視管理制度及持續營運之有效性。

(八)  落實復原應變運作機制
■ 督導公會訂定災害應變運作、復原能力實證等作業韌性參考規範，作為業者遵循依據，並鼓勵金融機構於異地備援演練時，納入實際作業運作驗證。

三、結語

金融市場的穩定發展，對國家經濟成長、持續吸引投資至關重要，金融體系的穩健運作，更攸關國家經濟安全，而金融業在發展科技創新時，勢必會帶來新的資安風險，所以完善資安防護機制很重要。「金融資安行動方案」的推動，即是要建構安全的金融服務發展環境，讓金融機構能在資訊安全的基礎上，提供消費者更安心、便利，且多樣不中斷的金融服務。